La historia de PepePC

A muchos les he comentado que recientemente en mi red había un dispositivo desconocido llamado PepePC. Como son varios los que me han preguntado, dejo por aquí la historia completa.

En Enero adquirí una Raspberry Pi, tenía curiosidad por el cacharrito y un par de proyectos en mente que funcionan de maravilla. Un proxi, entre otros.

Un par de semanas después de pillar el aparatito y cacharrearlo me di cuenta que la red iba lenta. Demasiado, demasiado lenta. Mi padre cuando miraba la raspberry pi, puesta encima de un mueble del comedor con sus lucecitas parpadeando me decía... "¿Estás bajando algo? Esta red va fatal". y era verdad, la puñetera red iba a pedales, más lenta que una devolución de hacienda. Y yo no estaba haciendo nada, incluso probé a desconectar la raspberry pi un día por si era cosa del aparatito. Pues no, no era, y me estaba empezando a cabrear.

Tras configurar la rasbpi para que hiciera lo que yo quería, y configurar el no-ip que no quería configurarse, entré al rowter para ver que cacharros había en la red. Vi uno extraño con la ip 192.168.1.16 con el nombre PepePC. ¡Uups, esto no debería estar aquí!

Una de las cosas que había instalado en la raspberry fue la utilidad nmap. Había estado trasteando con la seguridad de un par de máquinas virtuales. Soy una persona curiosa. Decidí hacer un nmap al ordenador ese, no sin antes preguntarle a mis padres y hermano si sabían algo de un dispositivo conectado a la red llamado pepePC, pues cabía la posibilidad de que le hubieran dado acceso a un amigo o vecino para cualquier cosa, pues sin ir más lejos la vecina recibía cada día un correo de la profesora con la tarea que sus hijas tenían que hacer o yo que leches se. La cuestión, que en casa nadie sabía nada de quien era el PepePC este.

"Pues vale, carta blanca para actuar. Mañana si este sigue ahí, que estoy libre, veo que puedo hacer con el." pensé, mientras terminaba de cenar y me duchaba.

Y al día siguiente me encontré la agradable sorpresa de que en la red no había ningún PepePC. "Genial, una cosa menos de la que preocuparme, y la red vuelve a ir rápido. ¿pero qué le impide volverse a conectar cuando quiera?" nada, no se lo impedía nada. Así que decidí hacerme un script que monitorizara. Un tanto chapuza, pero cumplía y cumple su objetivo. Cada vez que se ejecuta, envía por correo gracias a sendmail las ips conectadas a la red.

Lo primero que hice fue crear un correo electrónico al que enviar las ips. Después solo tuve que modificar un script ya hecho para que hiciese lo que yo quiero, darle permisos de ejecución y añadirlo al crontab. Nota: Si googleais hay un script que hace lo mismo pero notificando en lugar de enviando por correo, y en según que casos es más conveniente que la chapuza que yo hice.

Y fue cuestión de esperar.

Tras un par de días la red volvió a ir horriblemente lenta. Y mi script había hecho su trabajo de puta madre. Miré el correo y anda, otra vez la famosa ip, aunque ahora era 192.168.1.17. Eliminé todos los correos, que había como unos 200 por culpa del script, y volví a entrar al rowter, para asegurarme que era mi "amigo" PepePC. y Así era.

Un scaneo a la ip con Nmap y descubro un par de cosillas bastante curiosas, como que es un windows xp. Lo dejé estar, no tenía ni idea de como proceder. Tenía claro que quería que ese tal Pepe, supongo que se llama así por el nombre del ordenador aprendiese a no tocar lo que no hay que tocar, en este caso la red de mi casa.

Un par de horas después vino mi padre para pasarme un par de archivos con un pendrive. Y al conectar el pendrive y acceder a la barra lateral del mac me dio por ver que dispositivos compartían cosas en mi red. PepePC, ¿nos vemos de nuevo?

Me pillé lo que quería mi padre del pendrive, le pasé un par de cosillas y lo desconecté. pero había visto que PepePC tenía cositas compartidas y mi cerebro había maquinado un plan maestro.

Accedí a sus cosas compartidas y me di cuenta que había compartido el disco c entero y un disco duro LG.

Primero veamos que hay en el LG. Torrents, una carpeta de temporales de emule y las fotos del 2010 al 2014.

Pues nada, vamos a ver que hay en c. Ui, que bonito, ¡tengo acceso al escritorio! ¿Coño, puedo escribir? ¿Es tan tonto como para entrar a una red que no es suya con esto así? Pues ya que podemos, escribamos...

Abro textEdit y creo un vecino.txt con el siguiente contenido:

Búscate otro vecino, hazme el favor.

Se lo dejo en el escritorio y salgo

La red seguía yendo lenta al día siguiente y el cabrón seguía ahí. vuelvo a entrar a su escritorio y mi archivo vecino.txt no está. "anda, lo ha visto y ha pasado de mi... y lo ha borrado. Y lo más importante, sigue en mi red".

Volvamos al LG. Discografía de paramore. Coño, tiene mis mismos gustos musicales y todo. Le corto un par de discos que me faltaban (se los ha descargado usando mi red, por tanto son míos) y le borro las fotos.

Y no escarmienta. ¡ARGH!

La red sigue yendo igual al día siguiente, y me he cansado.

había estado probando metaxploit, y las maravillas que se pueden hacer con el. ¡al fin podía probar en un entorno real!

Tras conseguir una shell a base de prueba y error (no le termino de pillar el truco al uso de metaxploit, así que tuve que arreglármelas para que el acceso directo del firefox ejecutara un .bat que ejecutase un netcat a la escucha al iniciar windows (es curioso lo potente que es la línea de comandos de windows) y ejecutase también el navegador para que no pareciera sospechoso) decido gastarle una pequeña broma. Un par de días después tenía una shell abierta en el puerto 3000.

En primer lugar finalizo el proceso del explorer. Luego, cambio el explorer.exe por el notepad.exe y el notepad.exe por el explorer.exe. Después le hago un shutdown -f -r -t 00 (reinicia el ordenador) y a esperar.

he de decir que después de dos meses no lo he vuelto a ver en la red. Deduzco que no tiene mucha idea de informática, si no no me hubiera sido fádcil hacer lo que hice. Por que mis conocimientos de seguridad y scripting linux son un tanto patéticos, por no decir casi inexistentes. cualquiera con algo de conocimientos de windows no me hubiera dejado avanzar tanto.

Todavía me pregunto que hacía compartiendo cosas en una red que no era suya. Supongo que sería de esos que se ha quedado sin internet y tenía compartido los discos duros por alguna razón X, una televisión de esas inteligentes o yo que sé. Y al entrar a mi red se le olvidó quitar los permisos. No le veo lógica ninguna, por que compartir un disco duro no lo hace un usuario básico, y por lo visto este hombre tenía toda la pinta de ser básico básico. Trato de encontrarle la lógica, por que ciertamente es todo demasiado surealista. No tiene sentido, lo miremos por donde lo miremos.

Aquí el script. Aviso que es el spam con forma de script y puede llegar a inundar el correo.

#!/bin/bash
ARCHIVOS="/root/tmp"
rm -I $ARCHIVOS/hosts_ip.txt
rm $ARCHIVOS/host_ip1.txt
/usr/bin/nmap -sP 192.168.1.1/24 -oG $ARCHIVOS/hosts_ip.txt
cat $ARCHIVOS/hosts_ip.txt | grep Host | cut -c 7-20 | tr -d "()" > $ARCHIVOS/host_ip1.txt
mail -s "Ips conectadas a la red" correo@gmail.com < $ARCHIVOS/host_ip1.txt
# Fin del script.

1 comentario

17
Jul

Diría que ya te había comentado ésta entrada, pero viendo que me he tenido que dar de alta de nuevo en la web, algo debí hacer mal...

Te comentaba que para evitar el spam puedes añadirle un if al script para que cuente las líneas de host_ip1.txt y sólo te lo envíe si hay más líneas de las que debería haber. Me explico: Si en casa tienes un máximo de 7 clientes o una media de 7 a la vez, si el script tiene más de 9 líneas (creo recordar que nmap añade un par de líneas al principio y al final), que te lo envíe.

Saludos ;-)